Nogle malware angreb kan være ekstremt machiavellistisk. Sådan er en sag for nylig analyseret ved cybersikkerhed eksperter på Trustwave.
En sjælden BadUSB angreb Går Under Analyse
Angrebet pågældende blev meget målrettet, og indsat en meget snu social engineering trick ved hjælp af en falsk gavekort og fysiske medier, kendt som ”gummi ducky”. En ”gummi ducky” er en ondsindet USB-tastatur præinstalleret med tastetryk, som ligner en almindelig USB-stick.
"Disse typer af angreb er typisk så eksplicit målrettet, at det er sjældent at finde dem, der kommer fra de faktiske angribere i naturen. Sjælden, men stadig derude," Trustwave siger.
Målet?
Et ukendt amerikansk gæstfrihed udbyder. Virksomheden modtog en kuvert med et falske BestBuy gavekort og et USB-drev. Virksomheden blev instrueret i at sætte USB i en computer for at få adgang til en liste over emner til gavekortet skal bruges. Men, USB viste sig at være en ”gummi ducky” også kendt som BadUSB – en meget sjælden angreb, der fungerer som et tastatur ved tilslutning til en pc. De angreb emulerer tastetryk til formål at iværksætte en række automatiserede angreb.
Den gode nyhed er, at den målrettede selskab mistanke om, at dette var en ondsindet forsøg, og nåede til Trustwave. De sikkerhedseksperter siger i deres rapport, at når de har tilsluttet BadUSB, indledte en serie af automatiserede tastetryk, der lancerede en PowerShell-kommando.
For at starte analysen, vi inspiceret drevet til inskriptioner såsom serienumre. I spidsen for drevet på printkortet oplevede vi ”HW-374”. En hurtig Google-søgning efter denne streng fundet en ”BadUSB Leonardo USB ATMEGA32U4” til salg på shopee.tw, hedder det i rapporten.
BadUSB Attack Downloads Ukendt Malware
Den PowerShell-kommandoen hentede en PowerShell script fra en hjemmeside, og derefter installeret specifikke malware på forskernes maskine identificeret som en Jscript-baserede bot. Tilsyneladende, mens de udfører denne analyse forskerne kunne ikke finde en anden lignende stamme af denne malware.
“Den malware er ukendt for os. Det er også svært at sige, om det er specialbyggede, men det sandsynligvis er, fordi det ikke er udbredt og synes at være målrettet,” Phil Hay, Senior Research Manager hos Trustwave sagde i en e-mail korrespondance med ZDNet.
Kort efter den indledende analyse, dog, Trustwave opdagede en fil svarende til det ukendte malware uploadet på VirusTotal. Yderligere analyse af kollega cybersikkerhed forskere på Facebook og Kaspersky afslører, at den ukendte malware sandsynligvis opfundet af en hacking gruppe kaldet FIN7, menes at være bag Carbanak malware. Forskere er uvidende om filen blev uploadet af en anden cybersikkerhed selskab undersøger i øjeblikket den samme stamme, eller af en anden.
Denne sjældne hacking forsøg tjener som et eksempel, som BadUSB angreb tager sted i den virkelige verden. Den sidste sådant angreb blev beskrevet i 2018 af Kaspersky forskere.
En underlig kendsgerning er, at en gummi ducky angreb blev nævnt i en episode af tv-serien hr robot. I dette specifikke Sæson 2 episode, Angela måtte bruge en gummi ducky i tilfælde af at hun mislykkedes med femtocell hack. Hun var nødt til at tilslutte gummi ducky, og sæt den ud i et par sekunder. Dette ville have givet fsociety fat i flere FBI adgangskoder.